ゼロ･トラスト･アーキテクチャのための5つの考慮事項

ゼロトラストはどこにでもあります。業界の業界誌やイベントで取り上げられ、役員会では話題になり、CISOやCIO、さらには大統領までが頭を悩ませているのです。

ゼロトラストとは何でしょうか、なぜそれが重要なのでしょうか。

ゼロトラストは、それ自体がサイバーセキュリティのソリューションではありませんが、ゼロ･トラスト･アーキテクチャを導入することで、組織が耐えうるサイバーセキュリティ攻撃の成功回数を軽減し、最終的に運用リスクと財務リスクを大幅に低減することができます。
 

ゼロトラストとは?

ゼロ･トラスト･セキュリティ･モデルとは、簡単に言えば、組織のネットワークの内外のあらゆるものを決して暗黙のうちに信用してはならないという考え方です。ユーザ、デバイス、ネットワークの構成要素、そして実際、IDを持つあらゆるパケットを、組織の環境、特に最も重要な資産へのアクセスを許可する前に、継続的にモニタ･検証する必要があることを規定しています。

このコンセプトは、過去数年間に多くのITモデルが採用していた「自分のゾーン内であればすべてを信用する」というモデルとは正反対です。今日、ゼロトラストは、セキュリティに対して「複数の方法で検証できない限り、何も信用しない」というアプローチを取っています。
 

ゼロ･トラスト･アーキテクチャをどのように構築するのか?

ゼロトラストの生みの親であるジョン・キンダーバグ氏は、ゼロ･トラスト･モデルの導入を検討中で、その開始方法について理解を深めたい場合、次の5つの実践的なステップを概説しています。

ステップ1: 防御表面を定義する

ほとんどの企業は、攻撃対象領域という概念を理解しています。これは、悪意のある行為者が組織を侵害しようとする際にアクセスしようとする、あらゆる潜在的な侵入口を指します。

防御表面(プロテクトサーフェス)は異なります。データ、物理的な機器、ネットワーク、アプリケーションなど、ビジネスにとって重要な資産を意図的に保護することができます。

なぜ、攻撃対象領域全体を見るのではなく、防御表面というアプローチを取るのでしょうか。キンダーバグ氏は次のように簡単に説明します。「防御表面は解決可能な問題となり、攻撃表面のような実際には解決不可能な問題となります。インターネットと同じくらい大きな問題をどうやって解決するのでしょうか?」

まず、環境内の保護が必要な資産を特定することが重要です。最も機密性の高いデータはどこにあるのか? 工場や生産プロセスにとって最も重要な運用技術は何か? セキュリティとアクセス管理の観点から絶対に優先させなければならない資産をリストアップし、優先順位をつけるのです。

ステップ2: トランザクションの流れをマップする

防御表面を特定したら、そのトランザクションの流れをマップすることができます。

これには、さまざまなユーザがこれらの資産にアクセスするためのすべての方法と、各防御表面が環境内の他のすべてのシステムとどのように相互作用するかを調べることが含まれます。例えば、あるユーザがターミナルサービスにアクセスできるのは、多要素認証(MFA)が実装され、検証されている場合のみで、ユーザは指定された時間に指定された場所からログオンし、指定されたタスクを実行している場合である、といったことが考えられます。

防御表面を特定し、優先順位を付け、トランザクションの流れをマップすれば、ゼロトラスト環境の構築を開始する準備が整いました。優先順位の高い防御表面から着手し、完了したら次の表面へ移行します。ゼロ･トラスト･アーキテクチャを導入した各防御表面は、サイバーレジリエンスを強化し、リスクを低減するための質の高いステップとなります。

ステップ3: ゼロトラスト環境を構築する

ゼロ･トラスト･アーキテクチャを実現する製品は1つもないことに注意してください。ゼロトラスト環境では、MFAやアイデンティティアクセス管理(IAM)などのアクセス制御から、暗号化やトークン化などのプロセスを通じて機密データを保護するテクノロジまで、複数のサイバーセキュリティツールを活用します。

ゼロ･トラスト･アーキテクチャは、セキュリティ技術のツールボックスにとどまらず、基本的にスマートで詳細なセグメンテーションとファイアウォールポリシーの作成から始まります。これらのポリシーは、アクセスを要求する個人、使用するデバイス、ネットワーク接続のタイプ、要求する時間帯などの属性に基づいて複数のバリエーションを作成し、段階的に各防御表面の周囲にセキュアな境界(ペリメータ)を構築していきます。

ステップ4: ゼロ･トラスト･ポリシーを作成する

このステップでは、アクセス制御やファイアウォールルールなどに関連する活動や期待事項を管理するポリシーの作成に焦点を当てます。

この新しいポリシーは、組織のイントラネットに掲載するだけではありません。従業員、ベンダー、およびコンサルタントの間で強固なセキュリティ対策を推進するために、組織全体で実施すべき教育プログラムを検討します。頻繁なサイバー･アウェアネス･トレーニングは、今や主流となりつつあり、リスク軽減のために必要不可欠なものとなっています。

ステップ5: ネットワークのモニタと保守

キンダーバグ氏のプロセスの最後のステップは、ゼロトラスト環境とそれを管理するポリシーが意図した通りに機能しているかどうかを検証し、ギャップや改善すべき点を特定し、必要に応じて軌道修正することに重点を置くことです。これは、OTのサイバーセキュリティに関する深い経験と知識を持つ信頼できるMSSPパートナを選択し、セキュリティ対策をグローバルに大規模に展開することで実現できます。
 

ゼロ･トラスト･セキュリティの導入を今すぐ開始

ゼロ･トラスト･セキュリティは、最終的に組織のセキュリティ体制を強化し、最も重要なデータや生産システムが悪用される可能性を低減するための、考え方の転換と新しいアプローチを意味します。

ゼロトラストを始める準備はできましたか? 私たちがお手伝いします。ロックウェル･オートメーションは、ゼロ･トラスト･アーキテクチャの構築と維持にどのように貢献できるか、今すぐお問い合わせください。

この記事はCPO Magazineに掲載されたものです。